Repository 32bit  Forum
Repository 64bit  Wiki

Bind9 in chroot [Risolto]

Postate qui per tutte le discussioni legate alla sicurezza di Linux/Slackware

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Specificare se discussione/suggerimento o richiesta d'aiuto.
3) Leggere attentamente le risposte ricevute.
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

Bind9 in chroot [Risolto]

Messaggioda Dani » mer mag 23, 2007 11:35

Ho seguito questa guida -> http://www.pluto.it/files/ildp/HOWTO/Ch ... HOWTO.html ma bind non mi parte :(
Ho sostituito in rc.bind i vari "/usr/sbin/named" con "/usr/sbin/named -u proxy -t /home/chroot/named -c /etc/named.conf"

Ma quando avvio lo script:

Codice: Seleziona tutto
root[named]# /etc/rc.d/rc.bind start
Avvio BIND.
ATTENZIONE: Named non è avviato. Questo perchè
il modulo "capability" richiesto dai nuovi kernel
non è caricato (o è statico nel kernel)?
Caricamento modulo capability:
/sbin/modprobe capability
FATAL: Module capability not found.
Avvio nuovamente Named.
FALLITO: dopo aver caricato il modulo "capability",
Named non è stato avviato.
Questo potrebbe essere dovuto ad un errore di configurazione
che bisogna correggere. Buona fortuna!


Che posso fare ?
Ultima modifica di Dani il mar set 18, 2007 22:21, modificato 1 volta in totale.
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda manolo » mer mag 23, 2007 11:40

Hai compilato tu il kernel? In caso di risposta affermativa temo ti tocchi ricompilarlo aggiungendo il modulo richiesto.
Ciao
Avatar utente
manolo
Linux 2.4
Linux 2.4
 
Messaggi: 282
Iscritto il: mer mag 25, 2005 23:00
Desktop: kde

Messaggioda Dani » mer mag 23, 2007 11:56

E perchè se avvio bind normalmente, senza chroot intendo, parte tranquillamente ?
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda manolo » mer mag 23, 2007 12:32

Controlla gli script allora...
Avatar utente
manolo
Linux 2.4
Linux 2.4
 
Messaggi: 282
Iscritto il: mer mag 25, 2005 23:00
Desktop: kde

Messaggioda Dani » mer mag 23, 2007 13:41

Quello di avvio di bind funziona se tolgo il "-u proxy -t /home/chroot/named -c /etc/named.conf" :D
Ho visto che c'è anche l'howto su slacky ma è molto piu' laborioso ! :roll:
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda Luci0 » mer mag 23, 2007 16:29

Sembra che non riesca a trovare un modulo, prova a copiare il modulo mancante dalla root del kernel all' equivalente nella chroot :-)
Avatar utente
Luci0
Staff
Staff
 
Messaggi: 3591
Iscritto il: dom giu 26, 2005 23:00
Località: Forte dei Marmi
Nome Cognome: Gabriele Santanché
Slackware: 12.2 14.0
Kernel: 2.6.27.46- gen 3.2.29
Desktop: KDE 3.5.10 Xfce

Messaggioda Dani » gio mag 24, 2007 18:49

Ok, provero'.
La cosa strana è che pero' ora ho avviato bind "normalmente", senza chroot e...

Codice: Seleziona tutto
dani[~]$ lsmod
Module                  Size  Used by
nvidia               6817044  32
dani[~]$
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda masalapianta » ven mag 25, 2007 21:28

Dani ha scritto:E perchè se avvio bind normalmente, senza chroot intendo, parte tranquillamente ?

perche' droppare alcuni privilegi ha senso se fai girare un processo con euid 0 in ambiente chroot, ad esempio inibisci l'uso della chroot() stessa (in modo tale che il processo non possa usarla per uscire dalla jail) e di un sacco di altre cose che permetterebbero al processo di rendere vana la jail; difatti se named viene lanciato con euid != 0 non fa uso della SYS_capset().
Come sempre la miglior documentazione e' il codice ;) (quando non e' scritto coi piedi ovviamente :lol: ) spesso per risolvere un problema spulciando documenti puoi impiegare decine di minuti a trovare quel che cerchi, mentre con due botte di grep e una letta a qualche riga di codice risolvi tutto in 30 secondi
Avatar utente
masalapianta
Iper Master
Iper Master
 
Messaggi: 2775
Iscritto il: dom lug 24, 2005 23:00
Località: Roma
Nome Cognome: famoso porco
Kernel: uname -r
Desktop: awesome
Distribuzione: Debian

Messaggioda Dani » sab mag 26, 2007 23:53

Si ma per capire il codice di un programma come bind9 ancora ne devo fare di strada :oops:
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch

Messaggioda Dani » mar set 18, 2007 22:18

Il modulo capability non c'entrava, era lo script di avvio di bind9 che stampava quel messaggio nel caso in cui tra i processi (ps aux) non risultava named.
Quando l'avvio di named fallisce, non viene scritto nulla su stdout/stderr ma su syslog ! Quindi bastava controllare lì.
Nel mio caso c'erano due errori fatali, permessi insufficienti e rndc.key non presente nella directory etc della finta root.

Bisogna avere (almeno dalle mie parti :-)) una cosa del genere:

Codice: Seleziona tutto
root[~]# ls -l /home/chroot/*
/home/chroot/dev:
totale 0
crw-rw-rw- 1 root root 1, 3 2007-09-17 16:34 null
crw-rw-rw- 1 root root 1, 8 2007-09-17 16:34 random

/home/chroot/etc:
totale 12
-rw-r--r-- 1 root  root  2652 2007-09-17 16:35 localtime
-rw-r--r-- 1 root  root   679 2007-09-17 16:32 named.conf
-rw------- 1 named named   77 2007-09-17 16:32 rndc.key

/home/chroot/var:
totale 8
drwxr-xr-x 3 root root 4096 2007-09-17 16:33 named
drwxr-xr-x 3 root root 4096 2007-09-17 16:37 run


Dunque risolto ! :p
Dani
Linux 3.x
Linux 3.x
 
Messaggi: 1447
Iscritto il: mer apr 26, 2006 0:52
Desktop: gnome
Distribuzione: arch


Torna a Sicurezza

Chi c’è in linea

Visitano il forum: Nessuno e 3 ospiti